244
заметим, что восстанавливается среднее инициирование F . Если F – достаточ-
но хороший шифр, то это не имеет никакого значения по отношению к безопас-
ности, поскольку если F представляет собой строгую псевдослучайную пере-
становку, то также должно быть F −1 . Причина для восстановления второго
применения F заключается в том, чтобы получить обратную совместимость:
если задать k1 = k2 = k3, то результирующая функция эквивалентна одному
инициированию F с использованием ключа k1.
Безопасность первого варианта. Длина ключа первого варианта равна 3n и, та-
ким образом, можно надеяться, что лучшая атака на этот шифр потребует времени
23n. Однако этот шифр подвержен атаке «встречи посередине» так же, как в случае
двойного шифрования, хотя атака требует времени 22n. Это самая известная атака.
Таким образом, хотя этот вариант не так безопасен, как можно было бы надеяться,
он приобретает достаточную безопасность для всех практических целей, даже для
n = 56 (при условии, конечно, исходный шифр F не имеет недостатков).
Безопасность второго варианта. Длина этого ключа составляет 2n и, та-
ким образом, лучшее, на что можно надеяться - это безопасность по отноше-
нию к атакам, действующим в течение времени 22n. Не известна атака с лучшей
временной сложностью, когда оппоненту известно лишь небольшое количество
входных/выходных пар. (См. Пример 6.13 для атаки, использующей 2n выбран-
ных нешифрованных текстов). Таким образом, тройное шифрование с двумя
ключами - это разумный практический выбор.
Достарыңызбен бөлісу: